أستغفر الله العظيم ... سبحان الله وبحمده



العودة   منتديات داماس > برامج الكمبيوتر والانترنت > برامج الحماية


مواضيع مميزة  


آخر عشرة مواضيع المواضيع النشطة


17-11-2010, 08:06 AM
اذكرالله غير متصل
عضوية الشرف
رقم العضوية: 327106
تاريخ التسجيل: Mar 2010
الإقامة: japan - italy
المشاركات: 1,971
إعجاب: 273
تلقى 530 إعجاب على 67 مشاركة
تلقى دعوات الى: 10 موضوع
    #1  

ملف ضار يتعدى حماية النواة في windows


يتعدى حماية النواة windows

يتعدى حماية النواة windows

الملف الضار المعروف "Alureon rootkit" استطاع ان يتعدى الحماية في windows
وايضا windows 64 bit

هذه الملف الضار يستطيع ان يتعدى الكثير من طرق الحماية الموجودة في windows واهمها
الية حماية النواة "PatchGuard"

هذه الملف الضار الذي اول ما اكتشف في " المانيا " واول ظهور كان ل windows32bit
حيث كان يسبب BSOD " الشاشة الزرقاء "
منذ 17 سنة , والامر الاكثر صعوبة هو عند تثبيت ال رقعة الامنية من microsoft يسبب
عدم حصول boot للنظام !
( طبعا هذه الاصدارة القديمة من هذه الملف الضار ولكن تابعوا التالي للاصدارة الحديثة يتعدى حماية النواة windows )

تسبب هذه الملف الضار ( عند اصابة النظام ) الى عدم تأشير بعض المعرفات فيه
وعند ذلك يتم استدعاء الملف الضار بواسطة API معين والنتيجة يتجاوز
PatchGuard
الذي هو مصمم لحماية نواة windows من الملفات الضارة

الان عند اعادة تشغيل النظام , يعمل الملف الضار الى استخدام
IOCTL_SCSI_PASS_THROUGH_DIRECT
لكتابة نفسه مباشرة الى القرص الصلب خاصتك
والنتيجة النهائية وجود الملف الضار في
master boot record (MBR)

طبعا تعلمون معنى ان يتم السيطره على MBR ؟
هذا يدل على ان الملف الضار اصبح يبدأ قبل بداية النظام ثم يقوم بعمل ارتباط للنواة ويمرر المعرفات المطلوبة وايضا يستطيع اضافة اي تعديل اخر فوق صلاحية admin

كمثال :
( هذا الاختبار على نظام windows7 64-bit )

هنا الملف الضار اصاب kdcom.dll واصبح قادر على تعديل الاعدادات لتحديد اولوية المعرف
ايضا للتذكير : هذه الملف الضار يقوم بتعطيل debuging بالنظام مما يجعل
reverse engineering ( RE ) -الهندسة العكسية -
طريقة صعبة لاكتشافه يتعدى حماية النواة windows


text: public KdDebuggerInitialize0 <-- هناالمتغيرات التي تحدث
text: mov cs:byte_1800019EC, 3
text: xor eax, eax
text: retn <-- هنا نلاحظ ان debug اصبح NOP 
.
.
.
.
text: KdDebuggerInitialize1
text: lea     rcx, sub_18000190C <-- هنا يتم تثيت الملف الضار
text: jmp     cs:PsSetLoadImageNotifyRoutine 
text: public KdDebuggerInitialize1 endp
هل انت مصاب :

الحل من امرين

1- ان يكون برنامج مضاد الملفات الضارة محدث والتأكد انه تم اصدار حماية من هذه الملف الضار

2- الاكتشاف يدويا :
لفعل ذلك افحص اقسام القرص الصلب ب diskpart
فاذا لم يظهر اي قسم
قد يدل انك مصاب به

شكرايتعدى حماية النواة windows



انا لست عربي
لذا اعذرني اذا لم افهمك من البداية
شاركنا بتصميم سطح مكتبك


++ Off-Line ++

المواضيع المشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
تعريب وندوز Xp Sp3 بتعديلات جديده وبحجم لا يتعدى 12 ميجا Smsm Star ويندوز Windows XP 53 11-12-2015 11:09 PM
طلب شرح كامل لدمج ويندوز 7 عربي النواة مع ويندوز 7 انجليزي النواة اكس اكس عبود اكس مشاكل وحلول الويندوز, اسئلة واستفسارات وشروحات الويندوز 1 21-04-2014 09:21 AM
ما هى العقوبة لمن يتعدى سن 30 ولم يتقدم للتجنيد ادهم دياب مُسْتَشارُكَ القّانُونيْ 1 08-10-2009 07:17 PM
ثيم لويندوز إكس بي بحجم لا يتعدى 2 ميجا Dream LH 4.0 Alpha hatem20 برامج 18 24-06-2009 06:24 AM
Windows xp Professional X64 Edition نسخة ويندوز خاصة للمعالجات الثنائية النواة ابو سليمان ويندوز Windows XP 26 31-08-2008 05:33 PM
17-11-2010, 11:04 PM
sameh haron غير متصل
الوسـام الذهبي
رقم العضوية: 117106
تاريخ التسجيل: Apr 2008
المشاركات: 1,785
إعجاب: 357
تلقى 74 إعجاب على 34 مشاركة
تلقى دعوات الى: 1 موضوع
    #3  

جزاك الله كل خير اخى العزيز ولكن ان امكن تبسيط الموضوع اكثر من ذلك لان هناك بعض النقاط لم افهمها وشرح كيفية الحماية ان لم اكن مصاب بهذا الملف الضار


لا تنسى ذكر الله
عاشت مصر لابناءها حره
وداعا لعصر الطغيان والاستبداد

18-11-2010, 01:52 AM
اذكرالله غير متصل
عضوية الشرف
رقم العضوية: 327106
تاريخ التسجيل: Mar 2010
الإقامة: japan - italy
المشاركات: 1,971
إعجاب: 273
تلقى 530 إعجاب على 67 مشاركة
تلقى دعوات الى: 10 موضوع
    #4  

وعليكم السلام

تبسيط الموضوع اكثر من ذلك لان هناك بعض النقاط لم افهمها
هذا هو مع التبسيط , على اية حال ما هو الغير واضح لابسطه

وشرح كيفية الحماية ان لم اكن مصاب بهذا الملف الضار
هل انت مصاب :

الحل من امرين

1- ان يكون برنامج مضاد الملفات الضارة محدث والتأكد انه تم اصدار حماية من هذه الملف الضار
مشكور اخي على المعلومة القيمة
شكرا

19-11-2010, 08:12 PM
Ahmed-Under غير متصل
عضوية الشرف
رقم العضوية: 84905
تاريخ التسجيل: Jun 2007
المشاركات: 19,155
إعجاب: 8,086
تلقى 10,351 إعجاب على 884 مشاركة
تلقى دعوات الى: 2595 موضوع
    #5  

جزاك الله كل خير اخ اذكرالله ع المعلومات ..؛


19-11-2010, 08:53 PM
Abo fatema غير متصل
عضوية الشرف
رقم العضوية: 68108
تاريخ التسجيل: Mar 2007
الإقامة: غزة - فلسطين
المشاركات: 7,580
إعجاب: 1,874
تلقى 5,738 إعجاب على 618 مشاركة
تلقى دعوات الى: 823 موضوع
    #6  

وعليكم السلام ورحمة الله وبركاته
جزاك الله خيرا أخي الحبيب معلومات قيمة . لم أكن أتوقع إختراق نظام 64 بت بهذه السهولة !!
ربما هذا للتسويق لنواة 128 بت القادمة أليس كذلك ؟ !!
فقد أخبرني أحد الإخوة أن مايكروسوفت هي نفسها من تقوم بعمل هذه الثغرات وهي نفسها من تصدر الفايروس تحت مسميات مختلفة .
لتقوم فيما بعد بتسويق البضاعة الجديدة وأظن أن هناك شيء صحيح في الأمر ألا توافقني ؟ ..


19-11-2010, 09:49 PM
اذكرالله غير متصل
عضوية الشرف
رقم العضوية: 327106
تاريخ التسجيل: Mar 2010
الإقامة: japan - italy
المشاركات: 1,971
إعجاب: 273
تلقى 530 إعجاب على 67 مشاركة
تلقى دعوات الى: 10 موضوع
    #7  

المشاركة الأصلية كتبت بواسطة Ahmed-Under 
جزاك الله كل خير اخ اذكرالله ع المعلومات ..؛
شكرا

المشاركة الأصلية كتبت بواسطة Abo fatema 
وعليكم السلام ورحمة الله وبركاته
جزاك الله خيرا أخي الحبيب معلومات قيمة . لم أكن أتوقع إختراق نظام 64 بت بهذه السهولة !!
ربما هذا للتسويق لنواة 128 بت القادمة أليس كذلك ؟ !!
فقد أخبرني أحد الإخوة أن مايكروسوفت هي نفسها من تقوم بعمل هذه الثغرات وهي نفسها من تصدر الفايروس تحت مسميات مختلفة .
لتقوم فيما بعد بتسويق البضاعة الجديدة وأظن أن هناك شيء صحيح في الأمر ألا توافقني ؟ ..
شكرا
فقد أخبرني أحد الإخوة أن مايكروسوفت هي نفسها من تقوم بعمل هذه الثغرات وهي نفسها من تصدر الفايروس تحت مسميات مختلفة .
لتقوم فيما بعد بتسويق البضاعة الجديدة وأظن أن هناك شيء صحيح في الأمر ألا توافقني ؟
بالتأكيد اوافقك . وللأسف هذا صحيح
ان بعض الشركات تقوم بعمل ذلك لتجبرك الى استخدام هذا المنتج ( او تشعرك بانك بأمان عند استخدامه )

مثلا . .
هل يتذكر احدكم الملف الضار confliker الذي كان يضر شبكات الاتصال

ظهرت اشاعات بان المسؤول عن ظهوره Kaaaaaaaspersky
وكان اول من طرح الرقعة , ومن خرج يقول بان المستخدمين في امان باستخدام هذا المنتج

طبعا هذه اشاعات وانا لا اجعل الكلام اكيد
لكن

تستطيع القيام ببحث وتتأكد ان اخطر البرامج الضارة يقف خلفها شركات حماية

شكرا لك

 


ملف ضار يتعدى حماية النواة في windows



English

Powered by vBulletin® Version
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
The owner and operator of the site is not responsible for the availability of, or any content provided.
Topics that are written in the site reflect the opinion of the author.
جميع ما يُطرح من مواضيع ومشاركات تعبر عن رأي كاتبها ولا تعبر عن رأي مالك الموقع أو الإدارة بأي حال من الأحوال.